anz.mobi域名遭澳大利亚澳新银行收购

pwnedlist宣布将在2016年5月16日关闭。pwnedlist是能够报告网站何时被攻破以及凭据是否泄漏的网站。

记者briankrebs爆料该公司存在安全问题，允许恶意攻击者监测任意域名的敏感信息泄漏情况，而不需要经过正当的身份验证程序。域名持有人验证程序存在漏洞

默认的情况下，当用户在pwnedlist创建一个账户，想要追踪其网站的用户网上登录凭证信息在网络上泄露的情况，只需要在操作列表中添加域名作为监控的对象。

为了验证用户的身份，pwnedlist会发送邮件验证链接。正常情况下，当真实用户收到邮件后，需要点击其中的链接，打开确认页面进行验证。

而安全专家bobhodges告诉briankrebs，确认页面是没有与前一阶段的验证流程做绑定，即要求验证的域名与发送验证链接中要求验证的域名用户并无绑定。这意味着只要通过修改链接url上的部分参数，攻击者伪装成任意域名的拥有者。

krebs随后进行操作验证hodges的说法是否属实。很快他收到了apple.com的凭证信息是否被泄露的确认邮件，但显然，他并不是apple.com的域名持有人。

攻击者可以通过pwnedlist跟踪任意网站

攻击者利用这一漏洞可以追踪任意网站的凭证泄漏情况，并收到网站漏洞报告。目前，pwnedlist总计有101,047个网站泄露的866,434,472个账户信息。

在krebs向alenpuzic验证这一漏洞存在后，跟踪服务被暂时下线。alenpuzic是pwnedlist的创始人，目前在infoarmor任职。随后pwnedlist发布了该服务将关闭的信息。公告如下，

感谢你成为我们的用户，让我们可以为你提供与你相关的个人账户的风险状况。pwnedlist于2012年上线启动，很快便成为行业中的领航者。随后于2013年，出于商业发展考虑，pwnedlist决定将自身业务出售给企业基础服务提供商infoarmor公司。而在这个过渡的过程中，pwnedlist网站计划于2016年5月16日关闭。阅读本文的人还阅读了：

通过蒲公英把ｎａｓ打造成私有云盘